Po wakacjach (październik) wychodzi nasza papierowa książka o bezpieczeństwie aplikacji webowych. Prawdopodobnie będzie też wersja elektroniczna (epub, mobi). Spis treści – tutaj Przedsprzedaż & early access uruchamiamy w sierpniu (zapisy w formularzu na końcu tego posta :) Fragment layoutu w wersji beta możecie zobaczyć tutaj. W tym pdf-ie nie przejmujcie…

TLDR: prawie każdy sensowny telefon ma wbudowany akcelerometr. Każdy sensowny telefon posiada również wbudowany głośnik. Głośnik powoduje wibracje, akcelerometr je wykrywa. Wystarczy appka, która przetworzy dane z akcelerometru na konkretne słowa – tutaj praca pokazująca całą operację: Temat jest o tyle ciekawy, że dostęp do akcelerometru ma często bez żadnych…

Podatność zgłoszona w ramach programu bug bounty. Historia jest krótka ale pouczająca (ile to razy słyszeliśmy, że SQL injection to jakaś stara podatność i nigdzie jej nie można znaleźć?). Dostępny plik WSDL definiujący endpointy API – w tym testowe funkcje (całość w domenie starbucks.com.cn) SQL injection w jednej z funkcji Wstrzyknięcie…

Ktoś się chyba zdenerwował na Nadgryzione Jabłko.  iOS dostępny na iPhony / iPady właśnie otrzymał aktualizację do wersji 12.4, która zawiera potężną liczbę aktualizacji bezpieczeństwa. Mamy tutaj co najmniej kilka błędów klasy remote code execution, w tym dość zaskakujący w Facetime: Impact: A remote attacker may be able to cause arbitrary…

Co takiego się wydarzyło? W 2017 roku przestępcy dostali się na początek na jeden z ważniejszych serwerów amerykańskiej firmy i wykradli im dane (dane o około 150 milionach klientów, w tym około 200 000 numerów kart kredytowych).

Jak pisze Gazeta Wyborcza: Parę dni temu prezes Urzędu Ochrony Konkurencji i Konsumentów ukarał firmę VGET Polska za oszukiwanie konsumentów. Ma zapłacić 2,7 mln zł kary. Spółka zajmuje się sprzedażą podczas pokazów pseudomedycznych urządzeń; VitronMed, VitronMagnetic, VitroMag oraz Aplikatora Pola Magnetycznego*. Firma zaprasza konsumentów na pokazy telefonicznie, a akcje telemarketingowe…

Nagły wzrost popularność rosyjskiej aplikacji stanowi okazję dla przestępców. Kaspersky Lab wykrył, że mobilny trojan MobiDash podszywa się pod aplikację FaceApp. Jego działanie przypomina schemat działania typowego adware: (…) użytkownik widzi komunikat o błędzie. Wyświetlane informacje sugerują, że pobrana aplikacja została odinstalowana. Komunikat ten jest sfałszowany – w rzeczywistości szkodliwy…

Taka ciekawostka: Edge apparently sends the full URL of pages you visit (minus a few popular sites) to Microsoft. And, in contrast to documentation, includes your very non-anonymous account ID (SID). Wygląda na to że Edge wysyła pełen URL stron które odwiedzać (nie robi tego tylko dla garstki popularnych serwisów)…

Jeśli jesteście podsłuchiwani (np. w ten sposób), to prawdopodobnie otrzymacie taką informację: Strona bazuje na funkcjach udostępnianych HTTP/2 serwer Caddy.  Który z kolei wykorzystuje teorię opisaną w pracy: The Security Impact of HTTPS Interception. Życzymy: –ms

Ciekawa podatność, zgłoszona przez niemiecki CERT. „Ausführen beliebigen Programmcodes” to nieco szorstkie „Remote Code Exection” – czyli wykonanie dowolnego kodu w OS ofiary (z uprawnieniami użytkownika VLC). Z jednej strony problem wygląda na bardzo poważny (CVSS Base score 9.8/10) z drugiej strony Niemcy klasyfikują go z zagrożeniem 'High’ – nie…

Światowe media donoszą o hacku, nierzadko w nieco sensacyjnym tonie. Zhakowana firma to SyTech, realizująca zlecenia na potrzeby rosyjskiego FSB. Atak miał miejsce około tygodnia temu i wygląda to na włamanie obejmujące w zasadzie całą sieć – dostęp do kontrolera domeny [prawdopodobnie jako administrator] i przeniknięcie dalej: The breach took…

WebRTC w kontekście prywatności opisany został w tym artykule, a skutki jego stosowania w przeglądarkach tutaj. W skrócie: ta technologia pozwala na bezpośrednią komunikację pomiędzy przeglądarkami, a przy okazji może ujawnić nasz prawdziwy, publiczny adres IP (czasami pomimo VPN) czasami również adres lokalny. Właśnie z tego powodu WebRTC powinien być…

Ta nieprzyjemna akcja cieszy sporą popularnością. Mamy możliwych kilka wariantów, np. taki (niektórzy w domenie .tk widzą uwiarygodnienie całej historii), każdy z nich jednak najprawdopodobniej doprowadzi do próby wyczyszczenia Waszego konta. Nie klikajcie w żaden z tego typu linków! Nasi czytelnicy przesyłają kolejne odmiany tego samego „pomysłu”: Po wejściu lądujemy…

Zobaczcie na ten dość dziwny komunikat, o który pytają nas zaalarmowani czytelnicy: Maila od WizzAir otrzymały osoby zarówno z Polski jak i zagraniczni klienci. Na razie nie posiadamy zbyt wielu szczegółów, choć linia lotnicza uspokaja: there was no data breach, but we still recommend you to have your pass reset….

Ekipa Slacka pisze o wprowadzonym właśnie wymuszeniu zmiany hasła dla niewielkiej grupy użytkowników. Chodzi o incydent który miał miejsce w 2015 roku. Atakujący pobrali wtedy min. zahashowane hasła. Atak ten był o tyle ciekawy, że napastnikom udało się również wstrzyknąć fragment kodu, który na żywo pobierał hasła użytkowników w plaintext (np….